本来想写一个U盘保存删除过的程序，以为就只要修改IAT(PE的导入表就可以了)，但发现exploere根本就没有用直接调用文件操作API，
而且是通过GetProcessAddr 来获得API 地址， 而且还是全局保存这个变量，因为我后面HOOK GetProcessAddr ，在explorer正常运行的时候去远程注入进出，发现后面exploere根本就没有调用了，所以推出应该用的全局变量。
后面在网上用VB HOOK exploere ，所以我没有学过VB，但那个种高级语言，只要学过c语言的人基本上都能看的懂。原来就覆盖API.
后面用VC实现了这个功能，不过没有一点成就感，毕竟是看别人代码写的。

后面我一个方法：CreateProcess exploere然后 挂起，然后远程注入 挂钩GetProcess， 但是他要获取文件操作的API 就是返回我的设置的API。如果不是就返回真真的GetProcessAddr 
这样确实检测到exploere 确实调用那个API。但貌似还没有拦截到文件操作 . 不知道为什么，思考了好几天，没有解决。出现了一些奇怪的想象。
看来操作这种系统有关的程序，还是比较困难。很多奇怪的现象会出现。
什么exploere不能够恢复线程，什么exploere访问异常。弄到最还是没有通过自己方法解决，如果用覆盖API方法，我就没有想写这个程序的冲动了。
不过写这个程序，又重新学习了一下PE，对PE有一定理解。或许 应了那句生活处处有学问。


这几天，看了ACE 1卷， 以前看在学校看不懂他在说什么，现在有了一定理解。也看了 我们c++ 博客园 陈硕 出版一本书 网络的书籍。
写蛮好，但比较散，不适合我这种没有实际工作中开发网络服务器。
有时间研究一下他库，写一个windows下这种库。

我还是好好研究我一下网络东西，专心搞一门。

上面说的环境XP。 WIN7 exploere 文件操作已经不一样了用COM ，网上有类似的代码。